Benar-Benar Sudah Tidak Ada!

Login SIM AkademikAh, kemarin iseng-iseng mbukak website SIM (Sistem Informasi Manajemen) Akademik mahasiswa ITS. Dulu, ketika belum diwisuda, saya masih tercatat dan bisa login dengan label mahasiswa aktif yang belum bayar SPP sehingga tidak bisa mengisi FRS (Formulir Rencana Studi) untuk semester ini. Batin saya, “apa yang mesti diambil jika semuanya sudah diambil?”

Lha, kemarin, saya mencoba memasukkan NRP saya, 5102100042 dengan password sederhana yang diambil dari nama dosen saya yang paling cantik dan imut-imut. Wealah, sudah tidak bisa masuk lagi ternyata, tanpa pemberitahuan dan tanpa reaksi, seperti halaman yang direfresh.

Hehehe.. selamat tinggal SIM Akademik ITS. Kini Galih ndak bisa jadi sekuriti testermu lagi. Dua kali saya berhasil masuk aplikasi ini lewat jalan belakang.

Kali pertama adalah waktu Pak iMaM K menggelar kontes hacker di kampus untuk ramai-ramai menjebol SIM Akademik yang segera dilaunching. Waktu itu disediakan server yang digunakan untuk percobaan. Semua ramai-ramai menarget server tersebut dan mencoba menjebol. Ketika saya memeriksa server tersebut, sistem keamanannya sudah sangat bagus baik di sisi aplikasi maupun di sisi server. Paling tidak saya yang kelasnya script kiddies ini ndak bisa memaksa masuk. Hmm.. tidak kurang akal, saya mendapatkan gagasan. Setiap aplikasi pasti punya sistem untuk development-nya, biasanya ada di komputer si developernya. Segera saya jalankan network scanner dan menemukan bahwa ada kloning persis sistem ini di komputer si developer. Aha.. karena saya ndak bisa njebol bagian aplikasinya, saya ganti haluan untuk menyerang langsung ke database-nya yang senengnya port-nya terbuka untuk seantero kampus! Dengan script sederhana dan bantuan password dictionary, akhirnya saya bisa masuk!! Yeah!! Ambil database-nya, dump segera di komputer sendiri, dan dari situ obok-obok server utama! Berhasil! 😀

Kali kedua adalah suatu malam ketika melakukan ‘patroli’ rutin di komputer server DMZ (Demiliterized Zone). Waktu itu baru aja diajari sniffing oleh Mas Sokam. Dengan menggunakan aplikasi ettercap yang dipasang di proxy (tapi saya ndak pakai proxy utama, tujuan saya bukan mencuri kok), saya dengan mudah mendapatkan user dan clear password user yang melalui proxy tersebut. Waktu itu memang aplikasi yang digunakan masih memakai protokol HTTP biasa. Karena kejadian itu SIM Akademik segera menambahkan protokol HTTPS untuk lalu lintas data.

Dua kali berhasil masuk jalan belakang, saya tak pernah memanfaatkan “keuntungan” tersebut. Saya tidak berniat menjadi pencuri, tidak seperti cracker-cracker itu. Setelah saya menemukan kelemahan-kelemahan itu, saya segera memberitahu admin dan developer yang menangani. Untuk kebaikan bersama. ^_^

By Galih Satriaji

Bookaholic, Workaholic. Chubby. That's me!

2 comments

  1. Salam kenal mas..
    Wah keren cara masuk SIM nya ya…
    Boleh saya minta cara nya gak, dikit aja
    hehehehe

    salam kenal mas, dari Aceh..

Leave a comment

Your email address will not be published. Required fields are marked *